Höstterminen är i gång, men det är glest med studenter mellan KTH:s tegelbyggnader. En och annan student bär ansiktsmask. På kullerstensgatan som leder fram till sätet för CDIS går två unga män och diskuterar en matematisk formel.
Bara en kvarts promenad bort ligger Försvarsmaktens högkvarter. När Försvarsmakten fick i uppdrag att stärka det svenska cyberförsvaret identifierade man KTH som det mest relevanta lärosätet att samarbeta med för en satsning inom forskning och utbildning. Det gick bara något år från de första diskussionerna med KTH till att centret tog form och började anställa doktorander förra hösten.
– Jag är överraskad att det gick så fort. Det fanns en stor vilja hos Försvarsmakten, och då fanns det även pengar. Men det var också tur att det sammanföll med att folk på KTH ville och hade tid att engagera sig, säger Pontus Johnson som är centrets föreståndare och professor med inriktning mot cybersäkerhet.
Cyberangrepp mot Sverige ”hela tiden”
Coronapandemin har accelererat digitaliseringen av samhället, men redan innan låg Sverige i topp bland länderna i olika digitaliseringsindex. Däremot ligger Sverige bara på 32:a plats i Global Cybersecurity Index, att jämföra med Norge på plats 9, Finland på plats 19 och Danmark på plats 21.
En hög grad av digitalisering av samhället och dess kritiska infrastruktur, kombinerat med bristfällig cybersäkerhet och en alltmer osäker värld, är en potentiellt farlig cocktail. Enligt rapporten Cybersäkerhet i Sverige som publicerades av Försvarsmakten i samarbete med andra myndigheter tidigare i år, sker cyberangrepp från statliga aktörer mot svenska mål ”hela tiden, en del med framgångsrikt resultat”.
Syftet kan vara att inhämta skyddsvärd information om Sveriges säkerhet, misskreditera makthavare, skapa splittring i landet, utpressa personer i maktposition, eller öka den egna innovations- och konkurrensförmågan genom att komma åt företagshemligheter och opublicerad forskning.
Säkerhetspolisens senaste årsrapport listar omkring 15 länder som bedriver säkerhetshotande verksamhet mot Sverige, och pekar särskilt ut Ryssland och Kina som genom sina aktiviteter och globala politiska ambitioner utgör ett allt större hot.
– De är offensiva och hackar Sverige dagligen, säger Pontus Johnson.
Störst kapacitet på cyberområdet bedömer han däremot att USA har, vilket uppdagades genom Edward Snowdens avslöjande om landets massövervakning.
Sveriges brist på kompetens inom cybersäkerhet är ett samhällsproblem, enligt säkerhetsmyndigheterna. Ett av KTH:s bidrag till att öka kompetensen är dess kurser i etisk hackning, som Pontus Johnson ansvarar för. För tillfället lär sig över 300 studenter att hacka vid KTH.
Studenter hackade robotdammsugare
Längre ner i korridoren från Pontus Johnsons kontor ligger hackerlabbet. På väggen hänger affischer från kultfilmer för hackare, som The Matrix, Hackers och War Games. Bredvid en svart skinnsoffa står ett oanvänt smart kylskåp – det har främst tagits dit för att hackas på. I bokhyllorna längs väggen ligger fler apparater som studenter har försökt hacka i jakt på sårbarheter.
En av dem är en låda i stål med en dator i som används av elkraftsbolag för att fjärrstyra elnät lokalt, och i den hittade en student en sårbarhet stor nog att tillverkaren kände sig tvungen att åtgärda den. En robotdammsugare som ligger på hyllan lyckades några andra studenter hacka sig in i så att de hade möjlighet att köra runt i hem över hela världen och titta genom dammsugarens kamera och lyssna genom dess mikrofon.
Pontus Johnson understryker att studenterna så klart inte gjorde detta, eftersom de är etiska hackare, utan i stället bara rapporterade sårbarheten till företaget.
Hackare hjälper it-företag
Hur förhåller sig KTH till att dess utbildning ändå kan leda till att studenter använder den för att kunna göra cyberattacker?
Pontus Johnson berättar att man på 1990-talet hade inställningen att så få som möjligt borde ha kunskap om hackning och att företag försökte skrämma hackare med hjälp av stämningar. Men det försvårade för hackare utan ont uppsåt att utvecklas och verka lagligt, och gjorde att de med syfte att göra intrång fick ett informationsövertag eftersom de fortsatte att hacka oavsett.
Numera tar it-beroende företag i stället hjälp av hackerkunniga för att hitta och åtgärda sårbarheter i sina system, och erbjuder ibland stora summor pengar för rapportering av brister.
– Om 95 procent av våra studenter använder sin utbildning för att skydda, och 5 procent för att angripa, blir vår insats ändå nettopositiv. All kunskap finns också redan på Youtube om man vill lära sig att hacka, säger Pontus Johnson.
Utbildar cybersoldater
Inom ramen för CDIS har KTH skräddarsytt en uppdragsutbildning till Försvarsmakten för de värnpliktiga som utbildar sig till cybersoldater. De första 30 rekryterna går utbildningen under hösten.
CDIS sex doktorander kommer också att undervisa på utbildningen. Deras forskningsprojekt har kommit till i dialog med Försvarsmakten.
– Försvarsmakten har en helt exceptionell uppgift i cyberrymden eftersom de ska skydda hela Sverige och har befogenheter som ingen annan har. Deras forskningsfrågor är därför väldigt spännande att arbeta med och ligger i framkant, säger Pontus Johnson apropå fördelarna som KTH ser med samarbetet.
CDIS ska bedriva öppen forskning, det är parterna överens om, men den kan i sin tur generera hemlig forskning, vilken i så fall får ske vid en annan myndighet.
Annika Andreasson och Viktor Engström är två av CDIS doktorander, och båda har en master i informationssäkerhet från Stockholms universitet. Båda lyfter också fram att intresset för cybervärlden kommit i den senare delen av deras liv.
Behövs mer än teknisk kompetens
Annika Andreasson har en bakgrund inom humaniora, och var därför osäker på om hennes kompetens skulle passa in på KTH. Men något som lyfts fram i rapporter rörande kompetensbristen inom cybersäkerhetsområdet är att det också behövs mer än teknisk kompetens. Annika Andreasson och Viktor Engström håller med.
– Det behövs till exempel beteendeforskning för att förstå hur människor fungerar och vad som motiverar dem. Vi kan göra ett system hur säkert som helst, men om någon sedan har lösenordet på en post it-lapp är det kört. Ofta går angripare inte direkt på det de är ute efter, utan börjar med att leta efter en väg in i systemet, säger Annika Andreasson.
Innan hon antogs som doktorand jobbade hon som cybersäkerhetskonsult i några år. Hennes forskning handlar om cyberlägesförståelse och vilken information personer i olika led i en organisation behöver för att kunna fatta säkerhetsmässigt framgångsrika beslut utifrån sina roller.
– Det är skillnad på att tänka att man har en it-säkerhetsavdelning och att den har stenkoll på allt, till att ge anställda en möjlighet att skapa sig en egen förståelse för vad som är problematiskt och när de ska reagera, säger Annika Andreasson.
Hon vill i sin forskning också undersöka om etablerade teorier och modeller om lägesförståelse behöver justeras för att kunna överföras till cybervärldens särskilda förutsättningar.
– I cybervärlden är vi kanske inte lika bra på att skapa oss en lägesförståelse utifrån vad vi kan se. En attack kan också ske på ett ögonblick, eller väldigt långsamt över ett år för att ingen ska reagera på det i loggarna.
Simulerar attacker
Viktor Engströms forskning handlar om att skapa automatiserade hotmodeller och cyberattacksimuleringar för att på ett effektivt sätt identifiera och analysera sårbarheter i molnmiljöer.
– Det som är jobbigt att hantera är ofta inte enstaka problem. Men en realistisk attack skulle kunna gå i väldigt många steg och använda sårbarheter i olika programvaror och till och med på olika datorer. Simuleringarna kan resonera sig fram till olika möjligheter, och har inget problem med att systemet är stort, invecklat och har många kopplingar, säger Viktor Engström.
Vid årsskiftet fyller CDIS officiellt ett år. Efter alla rapporter om den bristande cybersäkerheten satsar nu Sverige mer på området. Pontus Johnson ser också CDIS växa framöver och knyta fler lärosäten, myndigheter och företag till sig.
– Jag hoppas att vi kan bli ett mer nationellt center som samlar de närmast sörjande organisationerna.
Vad gör du här?
David Olgart, utvecklingsledare för cyberförsvaret vid Försvarsmakten, med inriktning mot forskning och teknikutveckling.
– Jag är försvarsmaktens beställare och förbindelseperson. Det innebär att jag ska bevaka att det vi en gång har kommit överens om att KTH ska leverera i forskning är det vi får ut, och säkerställa att forskarna får tillgång till Försvarsmakten så att de kan forska på rätt saker.
Vad är mervärdet för er att samarbeta med KTH?
– Vi ser framför oss att resultaten som kommer ut från KTH, och som är grundläggande, öppen forskning, ska kunna accelerera den tillämpade forskningen som sker vid till exempel Totalförsvarets forskningsinstitut, Försvarshögskolan och materielanskaffningen vid Försvarets materielverk. Det är också betydelsefullt att KTH hjälper till i utbildningen av cybersoldater för det skapar en utbildning i forskningens framkant.
Vad säger du till dem som inte bara är rädda för utländska cyberattacker, utan också för att svenska staten ska göra cyberintrång i deras privatliv?
– Att vi följer de lagar och regler som gäller i Sverige.